Configurar a firewall de IP para Azure Event Grid tópicos ou domínios

Por predefinição, o tópico e o domínio são acessíveis a partir da Internet, desde que o pedido venha com autenticação e autorização válidas. Com a firewall de IP, pode restringi-la ainda mais a um conjunto de endereços IPv4 ou intervalos de endereços IPv4 na notação CIDR (Classless Inter-Domain Routing ). Os editores com origem em qualquer outro endereço IP serão rejeitados e receberão uma resposta 403 (Proibido). Para obter mais informações sobre as funcionalidades de segurança de rede suportadas pelo Event Grid, veja Segurança de rede do Event Grid.

Este artigo descreve como configurar definições de firewall de IP para Azure Event Grid tópicos ou domínios.

Utilizar o portal do Azure

Esta secção mostra-lhe como utilizar o portal do Azure para ativar o acesso público ou privado ao criar um tópico ou para um tópico existente. Os passos apresentados nesta secção destinam-se a tópicos. Pode utilizar passos semelhantes para ativar o acesso público ou privado a domínios.

Ao criar um tópico

Esta secção mostra-lhe como ativar o acesso à rede pública ou privada para um tópico ou domínio do Event Grid. Para obter instruções passo a passo para criar um novo tópico, consulte Criar um tópico personalizado.

1. Na página Noções básicas do assistente Criar tópico , selecione Seguinte: Rede na parte inferior da página depois de preencher os campos necessários.

   

2. Se quiser permitir que os clientes se liguem ao ponto final do tópico através de um endereço IP público, mantenha a opção Acesso público selecionada.

   Pode restringir o acesso ao tópico a partir de endereços IP específicos ao especificar valores para o campo Intervalo de endereços . Especifique um único endereço IPv4 ou um intervalo de endereços IP na notação CIDR (Classless inter-domain routing).

   

3. Para permitir o acesso ao tópico do Event Grid através de um ponto final privado, selecione a opção Acesso privado .

   

4. Siga as instruções na secção Adicionar um ponto final privado com portal do Azure para criar um ponto final privado.

Para um tópico existente

1. No portal do Azure, navegue para o tópico ou domínio do Event Grid e mude para o separador Rede.

2. Selecione Redes públicas para permitir que todas as redes, incluindo a Internet, acedam ao recurso.

   Pode restringir o acesso ao tópico a partir de endereços IP específicos ao especificar valores para o campo Intervalo de endereços . Especifique um único endereço IPv4 ou um intervalo de endereços IP na notação CIDR (Classless inter-domain routing).

   

3. Selecione Pontos finais privados apenas para permitir que apenas ligações de ponto final privado acedam a este recurso. Utilize o separador Ligações de ponto final privado nesta página para gerir ligações.

   Para obter instruções passo a passo para criar uma ligação de ponto final privado, consulte Adicionar um ponto final privado com portal do Azure.

   

4. Selecione Guardar na barra de ferramentas.

Utilizar a CLI do Azure

Esta secção mostra-lhe como utilizar comandos da CLI do Azure para criar tópicos com regras de IP de entrada. Os passos apresentados nesta secção destinam-se a tópicos. Pode utilizar passos semelhantes para criar regras de IP de entrada para domínios.

Ativar ou desativar o acesso à rede pública

Por predefinição, o acesso à rede pública está ativado para tópicos e domínios. Também pode ativá-lo explicitamente ou desativá-lo. Pode restringir o tráfego ao configurar regras de firewall de IP de entrada.

Ativar o acesso à rede pública ao criar um tópico

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled

Desativar o acesso à rede pública ao criar um tópico

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access disabled

Nota

Quando o acesso à rede pública é desativado para um tópico ou domínio, o tráfego através da Internet pública não é permitido. Apenas as ligações de ponto final privado terão permissão para aceder a estes recursos.

Ativar o acesso à rede pública para um tópico existente

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled 

Desativar o acesso à rede pública para um tópico existente

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access disabled

Criar um tópico com uma única regra de IP de entrada

O seguinte comando da CLI de exemplo cria um tópico do Event Grid com regras de IP de entrada.

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow 

Criar um tópico com múltiplas regras de IP de entrada

O seguinte comando da CLI de exemplo cria um tópico do Event Grid duas regras de IP de entrada num só passo:

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Atualizar um tópico existente para adicionar regras de IP de entrada

Este exemplo cria primeiro um tópico do Event Grid e, em seguida, adiciona regras de IP de entrada para o tópico num comando separado. Também atualiza as regras de IP de entrada que foram definidas no segundo comando.

# create the event grid topic first
az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location

# add inbound IP rules to an existing topic
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow

# later, update topic with additional ip rules
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Remover uma regra de IP de entrada

O comando seguinte remove a segunda regra que criou no passo anterior ao especificar apenas a primeira regra ao atualizar a definição.

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow

Utilizar o PowerShell

Esta secção mostra-lhe como utilizar Azure PowerShell comandos para criar tópicos de Azure Event Grid com regras de firewall de IP de entrada. Os passos apresentados nesta secção destinam-se a tópicos. Pode utilizar passos semelhantes para criar regras de IP de entrada para domínios.

Por predefinição, o acesso à rede pública está ativado para tópicos e domínios. Também pode ativá-lo explicitamente ou desativá-lo. Pode restringir o tráfego ao configurar regras de firewall de IP de entrada.

Ativar o acesso à rede pública ao criar um tópico

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled

Desativar o acesso à rede pública ao criar um tópico

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled

Nota

Quando o acesso à rede pública é desativado para um tópico ou domínio, o tráfego através da Internet pública não é permitido. Apenas as ligações de ponto final privado terão permissão para aceder a estes recursos.

Criar um tópico com o acesso à rede pública e regras de IP de entrada

O seguinte comando da CLI de exemplo cria um tópico do Event Grid com acesso à rede pública e regras de IP de entrada.

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }

Atualizar um tópico existente com o acesso à rede pública e as regras de IP de entrada

O seguinte comando da CLI de exemplo atualiza um tópico existente do Event Grid com regras de IP de entrada.

Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}

Desativar o acesso à rede pública para um tópico existente

Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}

Passos seguintes

• Para obter informações sobre a monitorização de entregas de eventos, veja Monitorizar a entrega de mensagens do Event Grid.
• Para obter mais informações sobre a chave de autenticação, veja Event Grid security and authentication (Segurança e autenticação do Event Grid).
• Para obter mais informações sobre como criar uma subscrição Azure Event Grid, veja Esquema de subscrição do Event Grid.
• Para resolver problemas de conectividade de rede, veja Resolver problemas de conectividade de rede